//
Archivos

lopd

Esta etiqueta está asociada a 19 entradas

¿Entran dentro de la Ley de Protección de Datos los videoporteros?

El articulo 2 de la Ley Organica 15/1999, de proteccion de datos de caracterpersonal dispone lo siguiente:

            1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

             2. El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación:

            a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Sólo se entenderán tales las que se inscriben en el marco de la vida privada o familiar de los particulares

En función de lo anterior, se considera que cuando el tratamiento sea efectuado a través de video porteros, se esta haciendo un uso personal o domestico de datos de imagen, por lo que no se aplica la normativa sobre protección de datos.

Sin embargo, si el servicio se articula mediante procedimientos que reproducen y/o graban imágenes de modo constante, y resultan accesibles -ya sea a través de Internet o mediante emisiones por la televisión de los vecinos-, y en particular cuando el objeto de las mismas alcance al conjunto del patio y/o a la vía pública colindante, resultará de plena aplicación la Instrucción 1/2006.

 En consecuencia, cuando una cámara permite reproducir en tiempo real las imágenes que concurren en la portería de un edificio, su actuación excede con mucho del ámbito personal y doméstico, por lo que implica un tratamiento de datos de carácter personal, que conlleva la necesidad de legitimar dicho tratamiento en los términos del artículo 2 de la Instrucción, antes expuestos.

Fuente: AEPD

¿Qué condiciones debe reunir el consentimiento del interesado para el tratamiento de datos?

 Como regla general, la inclusión de datos de carácter personal en un fichero supondrá un tratamiento de datos de carácter personal, que requerirá, en principio, el consentimiento del afectado. En particular, la LOPD establece en su artículo 6 lo siguiente:

Artículo 6. Consentimiento del afectado.

  • El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
  • No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
  • El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
  • En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.”

En cuanto al consentimiento, el artículo 3,h) de la Ley Orgánica 15/1999 define como tal “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. De ello se desprende la necesaria concurrencia para que el consentimiento pueda ser considerado conforme a derecho de los cuatro requisitos enumerados en dicho precepto.

                A juicio de esta Agencia la interpretación que ha de darse a estas cuatro notas características del consentimiento, siguiendo a tal efecto los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa, será las siguientes:

  • Libre, lo que supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.
  • Específico, es decir, referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la Ley Orgánica 15/1999.
  • Informado, es decir que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. Precisamente por ello el artículo 5.1 de la Ley Orgánica impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen.
  • Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento.

De lo que se ha indicado se desprende que de las características del consentimiento no se infiere necesariamente su carácter expreso en todo caso, razón por la cual en aquellos supuestos en que el legislador ha pretendido que el consentimiento deba revestir ese carácter, lo ha indicado expresamente; así sucede en el caso de tratamiento de datos especialmente protegidos, indicando el artículo 7.2 la necesidad de consentimiento expreso y escrito para el tratamiento de los datos de ideología, religión, creencias y afiliación sindical, y el artículo 7.3 la necesidad de consentimiento expreso aunque no necesariamente escrito para el tratamiento de los datos relacionados con la salud, el origen racial y la vida sexual.

Por tanto, el consentimiento podrá ser tácito, en el tratamiento de datos que no sean especialmente protegidos (artículo 7.2 y 7.3 de la Ley Orgánica 15/1999) si bien para que ese consentimiento tácito pueda ser considerado inequívoco será preciso otorgar al afectado un plazo prudencial para que pueda claramente tener conocimiento de que su omisión de oponerse al tratamiento implica un consentimiento al mismo, no existiendo al propio tiempo duda alguna de que el interesado ha tenido conocimiento de la existencia del tratamiento y de la existencia de ese plazo para evitar que se proceda al mismo.

El tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.c) de la Ley Orgánica 15/1999.

Cesión de datos

En cuanto a la cesión de datos, si la misma comporta identificación de concretas personas físicas constituye una comunicación de datos de carácter personal, definida en el artículo 3, i) de la Ley Orgánica 15/1999, como “toda revelación de datos realizada a persona distinta del interesado”.

El régimen de las cesiones de datos se contiene en el artículo 11 de la citada Ley Orgánica:

Artículo 11. Comunicación de datos.

  • Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
  • El consentimiento exigido en el apartado anterior no será preciso:

o   Cuando la cesión está autorizada en una Ley.

o   Cuando se trate de datos recogidos de fuentes accesibles al público.

o   Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

o   Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

o   Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

o   Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

  • Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.
  • El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
  • Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.
  • Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.”

A tenor del art. 44,4,b). de la Ley Orgánica se considera infracción muy grave la cesión de datos de carácter personal sin consentimiento del interesado, fuera de los casos en que estén permitidas.

Fuente: AGPD

¿Puedo realizar envios de propaganda electrónica a mis clientes?

 Desde el punto de vista de la normativa vigente, se deben identificar como Spam todas aquellas comunicaciones electrónicas del tipo que fueren (correo electrónico de Internet, mensajes cortos de telefonía móvil “SMS” ,etc) que el usuario recibe sin haber otorgado su consentimiento para ello, con las siguientes precisiones:

o        Una comunicación electrónica no constituirá infracción en el caso de existir una relación contractual previa, y siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los emplee para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

o        Toda comunicación electrónica recibida sin consentimiento ( y no existiendo una relación contractual previa ), independientemente de su carácter comercial o no, es Spam. Sin embargo,la LSSICEsolo regula comunicaciones electrónicas comerciales.

o        No obstante, cuando los destinatarios de las comunicaciones no comerciales son personas físicas, podría aplicarsela LOPD (tratamiento sin consentimiento).

o        Queda, por tanto, una situación de Spam no recogida por la legislación española ( tampoco por la directiva ) : cuando los destinatarios sean personas jurídicas y la comunicación electrónica no sea comercial. Existe numeroso Spam que no tiene carácter comercial, como aquel cuyo contenido son chistes, bromas, cadenas de favores y virus informáticos, por ejemplo, si bien en los casos constitutivos de delito existe la jurisdicción ordinaria.

             Se hace notar también que, en el caso en que los receptores de las comunicaciones comerciales sean personas jurídicas,la Agencia Españolade Protección de Datos ostenta las competencias sancionadoras, ya quela LSSICEno hace distinción entre persona jurídica/física para los receptores de las comunicaciones electrónicas.

            El envío de comunicaciones comerciales no deseadas por cualquier medio electrónico (e-mail. SMS, etc) es considerado Spam porla Leydela Sociedadde los Servicios de Información (LSSI) y podría ser objeto de sanción

Fuente: AGPD

¿En qué casos es legal la cesión de datos de salud?

Debe partirse de la autorización que para el tratamiento de datos de carácter personal relativos a las salud establece el artículo 8 de la Ley Orgánica 15/1999, indicando que “Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica”

Igualmente, debe considerarse aplicable lo establecido en el artículo 7.6 de la Ley citada, que establece que los datos de carácter personal relativos a la salud podrán ser objeto de tratamiento cuando el mismo “resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médico o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra personal sujeta asimismo a una obligación equivalente de secreto”.

Por ello, y en relación con el consentimiento en cuanto a los concretos datos que hagan referencia a la salud, hay que recordar que la necesidad de consentimiento se encuentra exceptuado por el artículo 7. 3 de la Ley Orgánica en los casos en que una Ley habilite expresamente para el tratamiento, siendo así que los propios artículos 7.6 y 8 de la Ley son los que darían cobertura a este tratamiento en los supuestos en el mismo se efectúe en los términos de dichos artículos, esto es, por profesionales sanitarios sometidos a secreto profesional y con las finalidades indicadas en tales disposiciones.

            Fuera de lo anterior, los datos de salud no pueden cederse a personas que no sean profesionales médicos o sanitarios sujetos al deber de secreto profesional.

Fuente: AGPD

http://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf;jsessionid=745D0872DB6098BA7E1DB88DADDACE32?idPregunta=599

¿En qué consiste el deber de guardar secreto?

El artículo 10 de la Ley Orgánica 15/1999, exige a quienes intervengan en cualquier fase del tratamiento de los datos, en el amplio sentido en que lo define el artículo 3,c), a guardar secreto profesional sobre los datos, subsistiendo la obligación aún después de finalizar su relación con el responsable del fichero: ‘El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.’

          El incumplimiento del deber de secreto puede ser constitutivo de una sanción leve, en los términos del artículo 44.2.e), o de infracción grave de acuerdo con lo previsto en el artículo 44.3.g) en virtud del cual, ‘La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.’

           La vulneración del deber de guardar secreto sobre los datos de carácter personal especialmente protegidos a que hacen referencia los apartados 2 y 3 del artículo 7, así como de aquellos que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas, puede ser constitutivo de una sanción muy grave en los términos del artículo 44.4.g) de la Ley Orgánica 15/1999.

Fuente: AGPD

http://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf;jsessionid=745D0872DB6098BA7E1DB88DADDACE32?idPregunta=948

 

¿Se puede exponer en el tablón de anuncios de la comunidad la relación de los vecinos morosos?

La Ley de Propiedad Horizontal, en su artículo  16.2 , prevé por otra parte que la convocatoria  de la Junta contenga la relación de vecinos morosos que estén privados del voto, siendo una buena práctica la notificación de  la convocatoria individual por correo, inclusión en cajetín, intranet con clave y contraseña, evitándose cualquier medio que pueda suponer el acceso por terceros ( Internet) .

               Existe la posibilidad de difundir la convocatoria y la lista de morosos en el “Tablón de Anuncios” de la Comunidad de Propietarios únicamente en el caso de que esté en un lugar sin acceso por terceros.

               El “tablón de anuncios” de la Comunidad habrá de ser cerrado con llave de la que debe ser depositario el Presidente y/o Administrador o persona designada al efecto, exclusivamente. No es legal,  desde la óptica  de protección de datos, exponer la lista de vecinos deudores a la vista de terceros.

             No obstante la difusión de la lista un vecino deudor podrá publicarse de forma accesible a terceros unicamente en el supuesto recogido en el  artículo 9 de la LPH, apartado h) párrafo segundo, “ Si intentada una citación o notificación al propietario fuese imposible practicarla en el lugar prevenido en el párrafo anterior, se entenderá realizada mediante la colocación de la comunicación correspondiente en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto….”

              Para proceder de esta forma deberán poderse acreditar los intentos de notificación.

Fuente: AGPD

http://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf;jsessionid=745D0872DB6098BA7E1DB88DADDACE32?idPregunta=756

Prevención de blanqueo de capitales y protección de datos personales.

El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su artículo 10.4, establece que será posible la cesión de datos de carácter personal sin contar con el consentimiento del interesado cuando “la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley les atribuya expresamente”.

En este sentido la entrada en vigor de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, recoge la obligación de los sujetos enumerados en su artículo 2, de establecer requisitos de control y conservación de documentos en operación que excedan de 15.000 euros, en una o varias operaciones siempre que el pago se efectúe en metálico, cheques bancarios al portador o pagos electrónicos que tengan la consideración de pago al portador; identificando a cuantas personas físicas o jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones, realizando una comprobación previa, mediante documentos fehacientes.

Quedan fuera del sometimiento a las obligaciones, como sujetos obligados, los abogados, en relación al entablar relaciones de negocio, comunciación por indicio y colaboración con el SEPBLAC, con respecto a la información que éstos tengan de sus clientes al defenderles en procedimientos judiciales.

La Ley incorpora a nuestro sistema normativo la Directiva 2005/60/CE del Parlamento europeo y del Consejo, de 26 de octubre de 2005, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo, desarrollada por la Directiva 2006/70/CE de la Comisión, de 1 de agosto de 2006, por la que se establecen disposiciones de aplicación de la citada Directiva, en lo relativo a la definición de personas del medió político y a los criterio técnicos aplicables en los procedimientos simplificados de diligencia debida con respecto al cliente así como en lo que atañe a la exención por razones de actividad financiera ocasional o muy limitada.

La citada Ley establece como obligaciones dentro del control citado, la identificación formal de la persona física o jurídica que realice la operación, la realización de un examen de comportamientos y operaciones complejas que puedan tener relación con el blanqueo de capitales o financiación del terrorismo, la obligatoriedad de comunicar cualquier indicio al Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC), estableciendo la prohibición de revelación de dichas comunicaciones a terceras personas; en la medida de los posible se abstendrán de ejecutar dichas operaciones, así mismo se establece la obligación de conservar dicha información diez años.

En lo relativo a la conservación, tratamiento y comunicación de datos de carácter personal, el artículo 32 somete el cumplimiento de la norma a la Ley Orgánica 15/1999,d e 13 de diciembre, de protección de datos de carácter personal y normativa de desarrollo. Especificando que no se requerirá, como es lógico, el consentimiento del interesado para el tratamiento de los datos necesarios para el cumplimiento de las obligaciones en materia de prevención del blanqueo de capitales, ni para las obligadas comunicaciones el SEPBLAC, estableciéndose una excepción legal al deber de información recogido en el artículo 5 de la citada Ley Orgánica. Existiendo una prohibición expresa de revelar a los propios clientes o terceros que su informaciçon ha sido comunicada al SEPBLAC o que la misma esta siendo objeto de exámen .

Como se desprende del espíritu de la Ley 10/2010, la excepción al deber de información se amplia al ejercicio de derechos de acceso, rectificación, cancelación y oposición por el afectado, debiendo los sujetos obligados, informarle en los términos del artículo 32.3.

La Ley otorga la condición de encargados de tratamiento a los órganos centralizados de prevención, y eleva al nivel alto de seguridad las medidas aplicables a los ficheros que contengan datos de prevención de blanqueo de capitales y financiación del terrorismo.

La Ley, así mismo se centra en el intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude, cuando concurran circunstancias excepcionales que se determinen reglamentariamente, pudiendo la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, acordar dicho intercambio de información, referida a determinado tipo de operaciones distintas o a clientes sujetos a determinadas circunstancias, siempre que se encuentren en la categorías de sujetos obligados, previstas en el artículo 2 de la Ley.

La Ley establece, además, la obligación de los sujetos obligados de establecer medidas en las operaciones con personas que desempeñen o hayan desempeñado responsabilidades públicas, tanto en otros Estados miembro de la Unión Europea, como en terceros países, así como sus damiliares y personas con la consideraciíon de allegados.

Los sujetos obligados podrán intercambiar información relativa a las operaciones con la única finalidad de prevenir o impedir operaciones relacionadas con el blanqueo de capitales o financiación del terrorismo cuando las características y operativa del supuesto, implique la posibilidad de que una vez rechazada por el sujeto obligado, al operación pueda llevarse a cavo, con otro sujeto obligado, con idéntico desarrollo u operativa.

Los sujetos obligados y las autoridades judiciales, policiales y administrativas competentes podrán consultar la información contenida en los ficheros siempre que el acceso fuese necesario para el cumplimento de las obligaciones recogidas en la Ley. Dicho acceso deberá quedar limitado a los órganos de control interno y las unidades técnicas de control creadas en el ámbito de los sujetos obligados.

En relación a la conservación de documentos, el artículo 25 de la Ley establece que los sujetos obligados conservarán durante un periodo de diez años la documentación en que se formalice el cumplimiento de las obligaciones en materia de prevención del blanqueo de capitales y financiación del terrorismo, así como el lo referente a la investigación o análisis, en materia de posibles casos infractores, especificando el artículo que documentos se deben conservar. Dicha conservación se realizar, preferiblemente, en soportes ópticos, magnéticos o electrónicos, que garanticen su integridad, la correcta lectura, la imposibilidad de manipulación y su adecuada conservación y localización.

De los citados preceptos de la Ley 10/2010, deducimos la obligatoriedad por parte de los sujetos obligados, de creación e inscripción del correspondiente Fichero de datos de carácter personal ante la Agencia Española de Protección de Datos; quedando clara su finalidad (la prevención del blanqueo de capitales y financiación del terrorismo), el Responsable del Fichero y encargado de tratamiento, así como las medidas aplicables (nivel alto de seguridad) y los destinatarios de cesiones y comunicaciones, así como los propios usuarios del sujeto obligado que podrán acceder a la información con la correspondiente obligatoriedad de llevar los necesarios registros de acceso a la información, así como los registros destinados al inventariado de los soportes que la contienen.

En relación al registro de personas con responsabilidad pública, se faculta a los sujetos obligados, para la creación de gficheros, aún cuando no se mantengan con ellos relaciones negociales, pudiendo los sujetos obligados, recabar toda la información necesaria sin necesidad de tener el previo consentimiento, sólo pudiendo ser utilizada la información para el cumpliento de las medidas previstas en la Ley 10/2010.

Fuente:http://www.dlcarballo.com/2012/02/prevencion-blanqueo-capitales-y-lopd/

¿Cuál es el plazo del que dispongo para conservar los datos personales? ¿Cuándo puedo eliminarlos?

Esta es una pregunta que en multitud de ocasiones nos han realizado tanto nuestros clientes como aquellos que han asistido a nuestros cursos de formación.

La respuesta a esta pregunta la podemos ver detallada y muy bien explicada en el Informe Jurídico 0408/2010 emitido por la Agencia de Protección de Datos que a continuación insertamos en su integridad para que esta duda pueda ser disipada en la mayoría de los casos, aunque habrá que reconocer que en ocasiones puntuales nos deberemos ajustar o alinear con las distintas legislaciones que pudieran verse afectadas.

Dentro de los principios recogidos en el artículo 4 de la Ley Orgánica 15/1999 bajo el título “Calidad de los datos” su número 5 recoge el relativo a la conservación de éstos disponiendo que “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.”

En desarrollo de este precepto el artículo 8.6 del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre, dispone “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.”

No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido el período al que se refieren los párrafos anteriores, los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente reglamento.”

A este respecto, debe señalarse que la cancelación de los datos no supone su eliminación automática, sino su bloqueo tal y como dispone el artículo 16.3 de la Ley Orgánica 15/1999 al establecer que “La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.”

El aludido Reglamento de desarrollo de la Ley Orgánica 15/1999, define en su artículo 5.1. b) la cancelación como “Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.”

En cuanto al modo de llevar a cabo el bloqueo, se señalaba en informe de esta Agencia de 5 de junio de 2007 que “deberá efectuarse de forma tal que no sea posible el acceso a los datos por parte del personal que tuviera habitualmente tal acceso, por ejemplo, el personal que preste sus servicios en el centro consultante, limitándose el acceso a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto. De este modo, pese a permanecer el tratamiento de los datos, el acceso a los mismos quedaría enteramente restringido a las personas a las que se ha hecho referencia.”

Respecto del plazo de cancelación, la previsión contenida en el artículo 16.3 se complementa con la previsión contenida en el artículo16. 5 que indica que “los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado”.

En informe de 1 de agosto de 2005 se indicaba que resulta imposible establecer una enumeración taxativa de los períodos en que el dato habrá de permanecer bloqueado, en relación con lo dispuesto en el artículo 16.3, no obstante, señalaba los siguientes criterios:

“En cuanto a las causas que podrán motivar la conservación del dato, sujeto a su previo bloqueo, además de la relación jurídica con el afectado, a la que se refiere el artículo 16.5 de la Ley Orgánica 15/1999, éstas deberán fundarse en lo dispuesto “en las disposiciones aplicables” o a la “atención de las posibles responsabilidades nacidas del tratamiento”, tal y como prevé dicha Ley.

En este sentido, para la determinación del período de bloqueo de los datos debe tenerse en cuenta que la Sentencia del tribunal Constitucional 292/2000, de 30 de noviembre, viene a imponer, expresamente, el principio de reserva de Ley en cuanto a las limitaciones al derecho fundamental de protección de datos de carácter personal, de forma que cualquier limitación a ese derecho (como sería la derivada del artículo 16.3 de la Ley) deberá constar en una disposición con rango de Ley para que el bloqueo de los datos pueda considerarse lícitamente efectuado. Así, a título de ejemplo, podría considerarse que el bloqueo habrá de efectuarse durante los plazos de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento, en los términos previstos por la legislación civil o mercantil que resulte de aplicación, así como el plazo de cuatro años de prescripción de las deudas tributarias, en cuanto los datos puedan revestir trascendencia desde el punto de vista tributario (habida cuenta de la obligación de conservación que impone el artículo 111 de la Ley General Tributarias y el plazo legal de prescripción de cuatro años previsto en el artículo 24 de la Ley de Derechos y Garantías de los Contribuyentes).

En todo caso, debe recordarse que el mantenimiento del dato bloqueado, supone una excepción al borrado físico del mismo que, en definitiva, es el fin último de la cancelación (tal y como prevé el propio artículo 16.3, al indicar que “cumplido el citado plazo deberá procederse a la supresión).”

A los períodos mencionados en el informe citado cabe añadir el plazo de prescripción de 3 años, previsto en el artículo 47.1 de la propia Ley Orgánica 15/1999 en relación con las conductas constitutivas de infracción muy grave, sin perjuicio de que otras normas con rango de Ley, en aquellos concretos sectores
en los que actúe en representación o defensa de su cliente, puedan establecer otros plazos de conservación de los datos.

Por consiguiente, los datos deberán cancelarse una vez hayan dejado de ser necesarios para la finalidad para la que se recabaron, manteniéndose bloqueados, en los términos vistos, al menos durante el tiempo necesario para la prescripción de las acciones que pudieran derivarse de la relación jurídica que vincula al consultante con su cliente, así como los derivados de la normativa tributaria, el plazo de prescripción previsto en el artículo 47.1 de la Ley Orgánica 15/1999, o los establecidos en otras normas con rango de Ley que resulten de aplicación al caso, debiendo suprimirse los datos una vez transcurridos dichos plazos.

Fuente: AEPD

 2010-0408   Plazo de conservación de datos personales

El apercibimiento en la LOPD entra en escena con la reforma del Título VII.

La Agencia Española de Protección de datos ya está aplicando la figura del apercibimiento regulada en el artículo 45.6 de la LOPD. Esta figura fue introducida por la Ley 3/2011, de Economía Sostenible que modificó el régimen sancionador de la Ley de Protección de Datos. Faculta a la Agencia, en casos excepcionales, para no abrir procedimiento sancionador frente al infractor y en su lugar apercibirle, entiéndase como hacerle un reproche, por los incumplimientos leves o graves que el infractor hubiese cometido, obligándole a adoptar las medidas correctoras que se estimen convenientes para restituir la situación inicial, en el plazo indicado por la Agencia, y que no se vuelva a producir el incumplimiento de la Ley por los mismos motivos.

Si no se restituyese la situación en el plazo indicado, la Agencia continuaría con la apertura del procedimiento sancionador.

Para la aplicación de esta nueva figura se exigen unos requisitos previos o principales, que son que el infractor no fuese sancionado o apercibido con anterioridad y que los hechos fuesen constitutivos como infracción leve o grave según la propia Ley; y unos requisitos accesorios, que no por ello menos importantes, regulados en el art. 45.4 y 45.5 de la misma Ley como pudieran ser el reconocimiento de la responsabilidad, la intencionalidad, volumen de negocio, beneficios obtenidos, regularización de la situación irregular de forma diligente…

La Audiencia Nacional por su parte también está reconociendo la aplicación de esta figura, cuando la Agencia Española no lo ha hecho, y se cumplen los requisitos exigidos en la Ley (Sentencia de 17 de junio de 2011).

El procedimiento a seguir sería el siguiente:

La AEPD recibe denuncia sobre posible vulneración del derecho a la protección de datos de carácter personal. Abre expediente sobre comprobación de los hechos, previa a la apertura del expediente sancionador. En fase de comprobación la AEPD puede solicitar al presunto infractor cuanta documentación estime pertinente. Aunque la LOPD no indica nada sobre el derecho de defensa del presunto infractor, en aplicación del art. 79 de la Ley 30/92 del Procedimiento Administrativo, éste podrá realizar cuantas alegaciones estime conveniente; y realizar comprobaciones presenciales, y en este caso el inspector redactará un acta que será ofrecida para la firma del investigado donde éste podrá efectuar también alegaciones. Como motivos de defensa, en ambos casos, además de los materiales, podríamos aludir a motivos formales o de procedimiento, como pudieran ser los de prescripción de los hechos.

Si se comprueba que efectivamente se está vulnerando el derecho, la Agencia puede actuar de dos modos diferentes.

1º Aplicar la figura del apercibimiento. Para ello deberá comprobar la concurrencia de los requisitos exigidos comentados anteriormente para que se aplique. En este punto, y recordando que uno de los requisitos aplicables es la no sanción o apercibimiento anterior, indicar que si anteriormente el infractor hubiese sido sancionado, o apercibido con anterioridad, se debería comprobar que la sanción hubiere prescrito, en cuyo caso se podría aplicar nuevamente el apercibimiento.

Se le concederá plazo para que realice las medidas correctoras propuestas, y en el caso de que no las aplicara se abriría expediente sancionador.

2º Abrir expediente sancionador, en cuyo caso y si al término del mismo se impusiera sanción calificada como leve o grave el sancionado podría recurrir ante la Audiencia Nacional solicitando la aplicación de la figura del apercibimiento, si se diesen los presupuestos habilitantes.

La aplicación de esta figura supone una nueva oportunidad para la empresa infractora de adaptarse a los requerimientos de la normativa vigente en materia de protección de datos, pero no olvidemos que en teoría sólo se puede aplicar una vez, por lo que lo deseable es que no se tenga que recurrir a ella nunca.

Fuente: El derecho informático
Fecha: 06/09/2011

Estadística del blog

  • 165.825 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A <span>%d</span> blogueros les gusta esto: